Ataki na Ukrainę. Rosja sięga po silną grupę

Na łamach naszego portalu wielokrotnie wskazywaliśmy, że cyberprzestrzeń jest ważną domeną wojny na Ukrainie. Cyberataki stały się codziennością i dotyczy to każdej ze stron.

W przypadku Rosji szczególnie aktywna jest grupa znana jako Sandworm. To aktor powiązany z wywiadem wojskowym GRU i stanowiący jedno z poważniejszych zagrożeń dla naszego wschodniego sąsiada, choć jej działania są ukierunkowane też w Polskę. 

APT44 jest elastycznym instrumentem Kremla zdolnym do realizacji różnorodnych interesów i ambicji Putina, w tym tych obejmujących osłabianie demokracji w skali globalnej.

Cyberataki zintegrowane z konwencjonalnymi uderzeniami wojsk

Specjaliści Mandiant w raporcie przekazanym naszej redakcji wskazują, że operacje grupy wspierają „wojenne cele Moskwy” i obecnie wydają się być lepiej zintegrowane z konwencjonalnymi ruchami rosyjskich sił zbrojnych niż we wcześniejszych fazach konfliktu. 

Ze względu na zagrożenie, jakie stwarza; wsparcie kraju oraz skalę aktywności, eksperci zdecydowali się uznać Sandworm za podmiot APT: APT44.

Wojna na Ukrainie. Rosja chce zyskać przewagę

W raporcie stwierdzono wprost, że grupa jest sponsorowana przez rosyjski wywiad wojskowy i cechuje ją dojrzałość oraz dynamika prowadzenia działań. Jej operacje skupiają się na 3 głównych obszarach: szpiegostwie, atakach w celu zakłócenia infrastruktury oraz wywierania wpływu.

„APT44 podejmowało wysiłki, aby pomóc rosyjskiemu wojsku uzyskać przewagę w czasie wojny” – podkreślają specjaliści. Według Mandiant, to właśnie hakerzy Sandworm odpowiadają za „prawie wszystkie destrukcyjne operacje przeciwko Ukrainie w przekroju ostatnich 10 lat”. 

Eksperci wskazują na m.in. użycie wiperów w celu wpływania na pracę różnorodnych obiektów zaliczanych do infrastruktury krytycznej. „Czasami ataki te koordynowano z konwencjonalnymi uderzeniami wojsk” – czytamy w raporcie. 

Wojna. Czas na szpiegostwo

Co ciekawe, wraz trwaniem wojny APT44 przenosiło swoją uwagę z prób zakłócania sieci i systemów na rzecz gromadzenia danych wywiadowczych. Zdaniem Mandiant, w szczególności zaczęło to być widoczne w drugim roku wojny. Rosja sięga po Sandworm, aby jej siły zbrojne miały przewagę nad Ukraińcami. Przykład?

Specjaliści opisują jedną z kampanii, w ramach której hakerzy pomogli rosyjskim wojskom lądowym poprzez eksfiltrację komunikatów z mobilnych urządzeń. 

Bogata kartoteka Sandworm

Należy podkreślić, że Sandworm jest ramieniem rosyjskiej armii, który ma na swoim koncie spektakularne akcje. Wystarczy wspomnieć o przełomie 2015 i 2016 r., kiedy to miały miejsce zakłócenia sieci energetycznej na Ukrainie, a także 2017 r., gdy przeprowadzono atak NotPetya. 

Mandiant w raporcie wymienia też:

• kampania hack-and-leak związana z wyborami w USA (2016);
• ataki na ukraiński sektor finansowy (2016);
• kampania hack-and-leak dotycząca wyborów we Francji (2017);
• operacja wymierzona w Igrzyska Olimpijskie w Pjongczangu (2018);
• atak na gruzińskie media – zakłócenia w stacjach telewizyjnych (2019).

Poważne zagrożenie ze strony Rosji

Specjaliści oceniają, że ze względu na „bogatą kartotekę” cyberataków motywowanych politycznie i wojskowo, wsparcie ze strony Kremla, posiadane zasoby, wiedzę i doświadczenie, Sandworm należy uznać za trwałe, poważne zagrożenie dla rządów i operatorów infrastruktury krytycznej na całym świecie. A zwłaszcza tam, gdzie Rosja ma swój interes. 

Z tego względu APT44 stanowić będzie jedno z głównych i przy tym najpoważniejszych cyberzagrożeń w skali globu. Ukraina niezmiennie pozostanie podstawowym celem wrogich działań.